Sisällysluettelo

Tämä dokumentti kuvaa IKI ry:n omaa verkkotunnustoimintaa, mutta olemme kirjoittaneet sen yleiseen muotoon että samaa dokumenttia voi käyttää joku muukin yhteisö tai yksityishenkilö joka tarjoaa verkkotunnusvälitys-palveluita vain omaan sisäiseen käyttöönsä eikä ulkopuolisille. Näin IKI ry pyrkii edistämään internetin käyttöä viestinnässä.

Tähän ohjeeseen voi viitata esimerkiksi ”Verkkotunnusvälittäjä noudattaa IKI-GPV-1.0 (tai uudempi versio) ohjeistoa”. Ohjeistosta voidaan julkaista tarpeen vaatiessa parannettuja versioita.

Tämä ohjeisto on julkaistu CC-BY Creative Commons Attribution 4.0 International lisenssillä. Sitä saa käyttää ja jakaa vapaasti sekä muokata myös kaupalliseen käyttöön, kunhan lähde iki.fi mainitaan. Jos keksit parannuksia, toivomme että kerrot niistä meillekin iki-hallitus@iki.fi.

General Public Verkkotunnusvälittäjäohjeisto (IKI-GPV-1.0.1) omien domainien hallintaan

Versio 1.0.1 on hyväksytty IKI ry:n hallituksessa 2016-08-15-181326.

Määritelmiä

Termi Merkitys Yksityishenkilön tapauksessa Yhteisön tapauksessa
Hallitus Päätösvaltainen verkkotunnus- ja muissa asioissa Henkilö itse Yhteisön hallitus
Ylläpitäjä Hoitaa verkkotunnuksien ja tietojärjestelmien teknistä ylläpitoa Henkilö itse Hallituksen nimeämät henkilöt
Vastuuhenkilö Hoitaa pääasiassa verkkotunnusvälitystoimintaa Henkilö itse Hallituksen nimeämä henkilö
Varahenkilö Hoitaa asioita vastuuhenkilön ollessa estynyt Nimetty luotettu toinen henkilö Hallituksen nimeämä henkilö

Kuvaus verkkotunnusvälittäjän toiminnasta

Verkkotunnusvälittäjä tarjoaa verkkotunnuksen välitystä ja hallinnointia vain itse omistamilleen ja hallinnoimilleen fi-domain nimille eikä muille.

Verkkotunnusvälittäjä noudattaa tietoyhteiskuntakaaren (917/2014) sekä viestintäviraston ja muiden viranomaisten määräyksiä ja virallisia ohjeita.

Verkkotunnusvälittäjä hoitaa automaattisesti verkkotunnuksen voimassaolon uusimisen hyvissä ajoin ennen verkkotunnuksen vanhenemista. Verkkotunnus uusitaan oletuksena maksimiajaksi. Tavoitteena on verkkotunnuksen pitkäaikainen ja luotettava toiminta.

Verkkotunnusvälittäjän käytännön toimenpiteistä vastaavat samat ylläpitäjät kuin muidenkin tietojärjestelmän ylläpidosta tai erikseen nimetty verkkotunnusvastuuhenkilö. Näillä henkilöillä on oikeus hallita fi-domainin tietoja.

Verkkotunnusvälittäjä merkitsee domainin tiedot Viestintäviraston verkkotunnusrekisteriin toimivilla yhteystiedoilla ja pitää yhteystiedot ajan tasalla. Verkkotunnusvälittäjä käyttää tähän selainkäyttöliittymää, jonka käyttöoikeudet ovat enintään samoilla henkilöillä kuin tietojärjestelmien pääkäyttäjäoikeudet.

Verkkotunnusvälittäjän yhteys ja muut tiedot pidetään ajan tasalla Viestintäviraston järjestelmissä. Tietoihin merkitään selvästi ”Vain omien fi-domainien ylläpito” tai vastaava ilmoitus, jotta rekisteristä ilmenee selvästi verkkotunnusvälittäjän toimintamalli.

Verkkotunnusvälittäjä noudattaa samoja korkean tietoturvan käytäntöjä ja hyviä tietoturvatapoja joita noudatetaan muissakin saman toimijan tietojärjestelmissä.

Palvelutasona (SLA) noudatetaan yhteisön normaaleja toimintamalleja pyrkien välttämään turhia viiveitä.

Yhteydenotot, ilmoitukset ja valitukset verkkotunnusvälittäjäasioissa otetaan vastaan samoja kanavia pitkin kuin muutkin asiat. Fi-domainien sekä verkkotunnusvälittäjän yhteystietoihin tallennetaan toimiva sähköpostiosoite ja puhelinnumero jolloin ainakin whois-palvelusta voi löytää toimivat yhteystiedot.

Verkkotunnusvälittäjän dokumentoituja toimintamalleja

Yhteistä

Yhteisiä käytäntöjä jotka koskevat useita allaolevia dokumentteja.

Viestintävirastossa olevan Verkkotunnusvälittäjätilin tunnuksia ei säilytetä itse tietojärjestelmissä vaan ylläpitäjien henkilökohtaisissa salatuissa salasanasovelluksissa. Viestintäviraston Verkkotunnusvälittäjätilille asetetaan satunnaisesti luotu vähintään 20 merkkiä pitkä salasana.

Verkkotunnusvälittäjä käsittelee vain omia tietojaan eikä ulkopuolisten tietoja. Omat tiedot suojataan samoilla käytännöillä kuin tärkeät tiedot muutenkin (esimerkiksi tiedot tallennetaan pääsykontrollin takana olevaan wiki-järjestelmään).

Hallinnollinen tietoturva

Verkkotunnusvälittäjä toimii domainin omistajan ja haltijan suorassa ohjauksessa ja verkkotunnusvälittäjän toimenpiteitä suorittavat vain erikseen nimetyt henkilöt.

Hallitus nimeää verkkotunnusvälitykseen vähintään yhden vastuu- ja yhden varahenkilön jotka hoitavat verkkotunnusvälittäjän juoksevia asioita. Oletuksena vastuuhenkilönä toimii hallituksen puheenjohtaja ja varahenkilönä tietojärjestelmien pääylläpitäjä. Vastuuhenkilön ollessa esteellinen varahenkilö hoitaa verkkotunnusvälittäjän toimintaa.

Verkkotunnusvälittäjätoiminnan riskit pyritään minimoimaan pitämällä verkkotunnusvälittäjän tunnukset ylläpitäjän omissa laitteissa salattuina eikä tietojärjestelmissä.

Henkilöstöturvallisuus

Verkkotunnusvälittäjä toimii olemassaolevian omien käytäntöjen, sääntöjen ja hyvien tapojen mukaisesti.

Laitteilla joilla verkkotunnusvälitykseen liittyviä tietoja käsitellään on käytössä koko levyn salaus tai asiaan liittyvät tiedot on erikseen salattu vahvaa salausta käyttävällä ohjelmalla.

Laitteisto-, ohjelmisto- ja tietoliikenneturvallisuus

Tietojärjestelmät suojataan ja päivitetään hyvän käytännön mukaisesti ja tietoturvatiedotteita seurataan aktiivisesti ja niihin reagoidaan tarpeen mukaan viiveettä. Vain käytössä olevat palvelut on laitettu päälle.

Tietoliikenteessä salataan kaikki yhteydet mahdollisuuksien mukaan (esim. SSH, SSL) ja oletukseksi laitetaan salatut yhteydet (esim. STARTTLS SMTP sähköpostille) aina kun se on mahdollista. Hallinta-etäyhteydet salataan aina.

Tietoaineisto- ja käyttöturvallisuus

Koska ulkopuolisia tietoaineistoja tai rekistereitä ei ole käytössä, tiedot suojataan omien normaalien hyvien käytäntöjen mukaisesti.

Toiminnassa käsitellään vain omia henkilötietoja ja tietojen käsittelyssä noudatetaan hyvää hallintotapaa ja teknisestä tietoturvasta huolehditaan yleisin parhain käytännöin.

Fyysinen turvallisuus

Tietojärjestelmät sijaitsevat lukituissa tiloissa ja palvelimiin on fyysinen pääsy vain hallituksen auktorisoimilla henkilöillä.

Riskienhallinnan prosessi ja säännölliset riskikartoitukset

Tietojärjestelmien ja fi-domain -asioiden riskejä analysoidaan säännöllisesti ylläpidon toimesta vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi hallitukselle.

Välitystoiminnan kannalta tärkeiden tietoaineistojen luokitusjärjestelmä ja luokitteluun liittyvä tietoaineistojen käsittelymenettely

Verkkotunnusvälittäjä käsittelee vain omia tietoja eikä ulkopuolisten tietoja. Tiedot pidetään tallessa organisaation omien käytäntöjen mukaisesti.

Välitystoiminnan tietoturvauhkien valvontamekanismi

Tietojärjestelmien tietoturvauhkia arvioidaan ajoittain, vähintään kerran vuodessa. Tarpeen vaatiessa esitetään raportti ja suosituksia toimenpiteiksi yhteisön hallitukselle.

Menettelyohjeet välitystoiminnan tietoturvaa häiritsevien tai uhkaavien tilanteiden varalle

Mahdollisessa häiriötilanteessa toimitaan kuten muitenkin IT-uhkien tapauksessa on suunniteltu esim. noudatetaan samoja varasuunnitelmia ja varmuuskopiointikäytäntöjä.

Verkko-, ohjelmisto-, laitteisto-, konfiguraatio-, rajapinta- ja laitetilamuutoksia ohjaavat prosessit

Käytössä olevista laitteista ja niiden konfiguraatioista ylläpidetään dokumenttia (esimerkiksi hallituksen salasanasuojatussa wiki:ssä).

Dokumentin loppu.